RaaS：勒索软件攻击供应链变得容易

随着云成为访问越来越多的软件产品的主要手段，现在似乎每个应用程序都在迁移到“即服务”交付模型。因此，勒索软件加入云计算的潮流也就不足为奇了。

了解勒索软件即服务 (RaaS)，这是一种预先打包、易于部署的方法，可锁定数据网络，然后勒索其所有者进行付款（通常以比特币或其他类型的加密货币的形式）以解锁它们.

与最流行的托管服务形式一样，RaaS 可能包括全天候的技术支持和致力于充分利用应用程序的用户论坛。买家可以通过多种方式获得“解决方案”，包括按月订阅、一次性许可费或与软件供应商分享利润。不管它可能提供什么，RaaS 都有一个共同的目标：在这个过程中造成数字混乱并赚取巨额利润。据 Cyber​​security Ventures 称，这是去年勒索软件收入在美国飙升至约 200 亿美元的主要原因。

据报道，自 2016 年左右以来，RaaS 已在暗网上提供，此后作为传播勒索软件的一种手段迅速发展。由多个不同规模和技术复杂程度的独立合作伙伴组成的全球供应链特别容易受到攻击。大型制造商、分销商和零售商可能认为自己是安全的，他们已经花费了数百万美元在自己家中采取严密的安全措施，但最小和最无关紧要的供应商可以作为获取有关客户和运营的大量敏感数据的门户。据估计，目前三分之二的网络攻击都是通过供应链进行的。

在过去十年中，移动设备的数量和应用呈爆炸式增长，是流行的感染媒介。 “假设开发人员的分包商正在为客户构建基于 API 的软件扩展，”SAP Procurement 产品战略全球副总裁 Padmini Ranganathan 说。 “你怎么知道他们的代码是安全的？或者他们正在保护他们使用的设备？”

Ranganathan 说，网络需要同样警惕地保护云中的嵌入式系统。虽然云技术不是一种自动的安全威胁，但随着与物联网相关联的设备的激增，它提高了风险水平。他说，公司需要通过对所有可以访问其数据的外部和内部数据的设备和系统进行严格审核来做出回应。

随着 RaaS 使网络犯罪分子更容易持有网络索取赎金，人们会认为私营公司和政府机构会特别注意保护他们的数据。近年来的勒索软件攻击浪潮表明情况并非如此。仅在 2021 年，受害者就包括输油管道、肉类加工厂、化学品分销商、汽车制造商，甚至玛莎葡萄园岛的渡轮服务。似乎没有关于被击中的实体的模式——只是它们都被证明容易受到一种已经变得非常容易上演的攻击形式。

小型供应商——或大型供应商，就此而言——可能会争辩说他们缺乏投资网络安全的资源。 Ranganathan 表示他们没有以正确的心态看待问题。可以肯定的是，获得适当的安全措施可能会很昂贵，并且会暂时拖累资产负债表。但是，从网络攻击中恢复的成本是多少——尤其是可能达到数百万美元的赎金要求？或者客户因为零售商或服务提供商的疏忽而对他们的敏感个人数据被泄露感到愤怒而失去客户所带来的后果？ “我们低估了风险价值的概念，”Ranganathan 说。

网络安全的一个重要方面不一定要花费更多。这是员工对通过任何数量的系统和设备进行的违规威胁的认识和努力。一开始就不应该相信任何事情；一次成功的攻击通常可以归咎于人类的粗心大意，而不是技术中的漏洞。

当然，黑客的技术在不断发展。今天的勒索软件攻击很可能在未来几年呈现出全新的形式。技术将努力跟上不断变化的威胁，但系统设计人员甚至是最普通的用户保持警惕是关键。

公司需要像对待销售、营销和新产品开发等更令人眼花缭乱的世界一样关注系统安全。 Ranganathan 说：“我们不能以快速创新的名义离开建筑卫生。”